Le Conseil fédéral veut obliger les infrastructures critiques à signaler les cyberattaques

A l’heure actuelle, les exploitants d’infrastructures critiques en Suisse ne sont pas obligés de révéler une éventuelle cyberattaque à leur encontre. Le signalement s’effectue sur une base volontaire par l’intermédiaire du Centre national pour la cybersécurité (NCSC). Le Conseil fédéral veut changer la donne et a chargé le Département fédéral des finances (DFF) d’élaborer en ce sens un projet de lois destiné à la consultation.

Les infrastructures critiques dont il est question font référence aux processus, systèmes et installations qui sont essentiels au fonctionnement de l'économie ou au bien-être de la population. Et ce, dans neuf domaines et secteurs d’activités: l'alimentation, les autorités, l’élimination des déchets, l’énergie, la finance et les assurances, la santé, la sécurité publique, les TIC et le transport.

Il est prévu que d’ici à la fin de 2021, le DFF élabore un projet créant les bases légales pour l’introduction d’une obligation de déclarer applicable aux infrastructures critiques en cas de cyberattaques, de même que lors de la détection de failles de sécurité. « La loi désignera à cet effet une centrale d’enregistrement et définira des critères uniformes pour tous les secteurs afin de déterminer qui doit signaler quels incidents et dans quel délai», précise le communiqué des autorités. L’objectif d’un tel partage des informations consiste à identifier de façon précoce des méthodes d’attaque, de renforcer la sécurité de la Suisse et de mieux évaluer la menace. Le Conseil fédéral souligne que les auteurs des déclarations ne seront pas divulgués.

Dans son dernier rapport de situation, le Service de renseignement de la Confédération a notamment mis en garde contre les cyberattaques visant les infrastructures critiques. De telles attaques pourraient causer des situations apocalyptiques, à l'image d’un blackout (lire sur le sujet >> Faut-il craindre un cyber-blackout?).